ドイツBosch社の子会社であり、車載機器のサプライヤーかつ車載セキュリティソリューションプロバイダのETAS株式会社(以下、ETAS社)のシニアセキュリティコンサルタントである西村 泰明 氏と、KPMGコンサルティングのパートナーである万仲 隆之が対談を行い、自動車関連企業におけるオフィス・車両・工場のセキュリティについて、どのような考え方で対応すべきかを考察しました。
車両がネットワークに接続されるようになり、サイバー攻撃のリスクが高まっています。UNECE(国連欧州経済委員会)はUNR155という規制を制定し、自動車関連企業は車両CSMS(Cyber Security Management System)の構築が必要になりました。UNR155を遵守するためには、車両開発や事務作業を行うオフィスにおけるIT、製品としての車両、車両を生産する工場の、「IT・車両・工場」の3領域のセキュリティレベルを向上する必要があります。
万仲:KPMGは、情報セキュリティ事案が顕在化してきた2000年代以前からIT領域を、社会インフラへのサイバー攻撃が増加してきた2010年代から工場領域のセキュリティ対応のコンサルティングを行っていますが、車両セキュリティにかかわるコンサルティングに携わったのは近年のことです。これは、車両領域においては従前から安全や品質への対応があり、またE/Eアーキテクチャといった車載固有の技術に対しても理解が必要であり、敷居が高かったためです。
KPMGは、車両セキュリティについては、この領域に長けたプロフェッショナルの力が必要と考え、グローバルでETAS社と協業しています。
西村氏:ETASは1994年にボッシュの先端開発部門から独立し、自動車産業を中心に組み込みシステム開発向けソフトウェア、各種ソフトウェア診断ツール、車両セキュリティといったソリューションを提供してきています。車両セキュリティソリューションとして、車両保護(CucurHSM/CycurLIB/CycurTLS)、侵入検知と防御ソリューション(CycurIDS/CycurGATE/CycurGUARD)といったソフトウェア製品群、それらコンポーネントを組み込むためのリスク分析やセキュリティコンセプトのようなエンジニアリング、車載機器への侵入テストとセキュリティ教育、CSMS構築を含むコンサルティング、さらに鍵管理システム・V2X資格情報管理システム等を提供しています。
万仲:UNR155で自動車関連企業に車両CSMSの構築が求められるようになり、「IT・車両・工場」のセキュリティレベルを高める支援を行う際に、監査法人系総合ファームとしてのKPMGのセキュリティコンサルティングだけではなく、車両セキュリティソリューションを開発し、自身が自動車関連企業のサプライヤーでもあるETAS社と共同で、UNR155対応支援プロジェクト等を実施していることは、クライアントに対して大きな説得力があります。
2021年にUNR155、156、157が制定され、ETAS社の車両セキュリティのソリューションの必要性も高まっていると思われますが、近年の自動車関連企業のセキュリティ対応の状況をどのように見ておられますか。
西村氏:今年(2021年対談当時)実施した「PROOF Automotive CSMS Survey 2021 Report」の結果が参考になると思います。本サーベイは、2021年2~4月にESCRYPTとKPMGが共同で実施したもので、対象は日本、ドイツ、米国など世界10ヵ国の主要OEMやサプライヤーで、合わせて66社の回答がありました。このうちOEMとサプライヤーの比率はほぼ半々となっています。2022年から適用が開始する各種規制に対し、各社が2021年時点でどの程度まで対応しているか、また今後の対応予定についても、各社の本気度を垣間見ることができます。結果は弊社ウェブサイトにて公開していますが、以下のような結果概要でした。
- 多くの車両CSMS対応の取組みは、単にUNR155の規制対応だけでなく、品質や安全性といった他の目的とともに進めている。
- 3分の2の回答企業において、車両CSMSを他のマネジメントシステム(たとえばSUMS、 ISMS、QMS、制御システムのCSMS等)と統合させている。
- 車両CSMSのプレ監査を受けることによって、要求事項とのギャップが明らかになり、実装の進捗度や満足度を上げることが出来たと感じている。
- 車両CSMS構築の最大の課題は、当該領域に対する知見とその人材の確保である。
万仲:やはり車両CSMSの構築には「IT・車両・工場」の各セキュリティへの対応、そして安全や品質との融合に苦慮されているのではないかと思います。3領域のセキュリティに対応するためには、それぞれで規程・体制・プロセス・対策の策定・導入が必要であると考えます。ETAS社は、車両領域の特に対策が強い訳ですが(下表参照)、その対策を運用するためには規程・体制・プロセスが必要です。KPMGは車両領域においても、IT・工場領域での経験を活かして、これからもETAS社とともに自動車関連企業のセキュリティ対応を支援したいと考えています。
自動車関連企業におけるセキュリティ領域・構成要素および構成要素の例
構成要素 | IT | 車両 | 工場 |
---|---|---|---|
規程 | 情報セキュリティ管理基準… | 車載セキュリティガイドライン… | 工場セキュリティガイドライン… |
体制 | 情報セキュリティ委員会、CSIRT、SOC… | PSIRT、VSOC… | OT-SOC… |
プロセス | セキュリティエンジニアリングプロセス、脆弱性管理、インシデント対応… | ||
対策 | 多層防御(ネットワーク、サーバ、端末)… | 車載セキュリティハードウェア・ソフトウェア… | OTネットワーク分離… |
西村氏:自動車関連企業からのセキュリティ対応の相談は多岐に渡ります。最近はサプライヤーからのTISAX認証対応の支援や、工場におけるセキュリティ強化の相談もありました。ETASの強みはサイバー攻撃から車両を保護するための製品・ソリューションの提供であり、情報セキュリティの認証取得や工場の制御システムのセキュリティ対応にお応えすることは困難です。ETASとKPMGの強みを活かし、包括的に対応することが重要だと考えます。